Het Protocol: Bug die al uw tokens kan leegtrekken treft 'duizenden' sites

Welkom bij The Protocol, de wekelijkse samenvatting van CoinDesk van de belangrijkste verhalen in de ontwikkeling van cryptocurrency-technologie. Ik ben Margaux Nijkerk, verslaggever bij CoinDesk.

In deze editie:

• Nieuwe React-bug die al uw tokens kan leeghalen, treft 'duizenden' websites
• Ripple breidt $1,3 miljard RLUSD-stablecoin uit naar Ethereum L2's via Wormhole in multichain-uitbreiding
• Aave DAO Verzet Zich Tegen Verandering van Interfacekosten Weg van de Schatkist
• NFT-project Pudgy Penguins neemt Las Vegas Sphere over in feestcampagne

Netwerk Nieuws

FOUT DIE PORTEMONNEE KAN LEEGTREKKEN TREFT DUIZENDEN WEBSITES: Een kritieke kwetsbaarheid in React Server Components wordt actief misbruikt door meerdere bedreigingsgroepen, waardoor duizenden websites — inclusief crypto-platforms — direct risico lopen en gebruikers mogelijk al hun activa zien verdwijnen, indien getroffen. De kwetsbaarheid, geregistreerd als CVE-2025-55182 en bijgenaamd React2Shell, stelt aanvallers in staat om zonder authenticatie op afstand code uit te voeren op getroffen servers. De beheerders van React maakten het probleem bekend op 3 december en gaven het de hoogst mogelijke ernstscore. Kort na de bekendmaking observeerde GTIG wijdverspreide exploitatie door zowel financieel gemotiveerde criminelen als vermoedelijke door de staat gesteunde hackergroepen, die onbeschermde React- en Next.js-toepassingen in cloudomgevingen gericht aanvielen. React Server Components worden gebruikt om delen van een webapplicatie direct op een server uit te voeren in plaats van in de browser van een gebruiker. De kwetsbaarheid is te herleiden tot hoe React binnenkomende verzoeken aan deze server-side functies decodeert. Simpel gezegd, kunnen aanvallers een speciaal vervaardigd webverzoek sturen dat de server misleidt om willekeurige opdrachten uit te voeren, of effectief de controle over het systeem aan de aanvaller over te dragen. De bug treft React-versies 19.0 tot en met 19.2.0, inclusief pakketten die worden gebruikt door populaire frameworks zoals Next.js. Alleen al het hebben van de kwetsbare pakketten geïnstalleerd is vaak voldoende om exploitatie mogelijk te maken.— Shaurya Malwa Lees meer.

RIPPLE KOMT NAAR ETH L2S: Ripple, het op betalingen gerichte blockchainbedrijf dat nauw verbonden is met het XRP Ledger (XRP), brengt zijn door de Amerikaanse dollar gedekte stablecoin naar Ethereum layer-2 (L2) blockchains zoals Optimism, Coinbase's Base, Kraken's Ink en Uniswap's Unichain in een poging om de $1,3 miljard token dieper te verankeren in het multichain-ecosysteem. Het bedrijf gaf aan te beginnen met een testfase voorafgaand aan een bredere uitrol die volgend jaar wordt verwacht, onder voorbehoud van goedkeuring door de New York Department of Financial Services (NYDFS). De pilot integreert Wormhole’s Native Token Transfers (NTT) standaard, waarmee RLUSD native over verschillende ketens kan bewegen zonder wrapping of synthetische activa. Dit helpt de liquiditeit en regelgevende controle te behouden, terwijl het een reeks gedecentraliseerde financiële (DeFi) toepassingen ondersteunt op netwerken die geoptimaliseerd zijn voor snelheid en lagere kosten. Stablecoins groeien snel uit tot een cruciaal onderdeel van de digitale financiële infrastructuur die traditionele financiën en de crypto-economie verbindt. Het is een cryptovalutaklasse ter waarde van $300 miljard, met prijzen die gekoppeld zijn aan fiatgeld zoals de Amerikaanse dollar. — Krisztian Sandor Lees meer.

DEBATTRONDE OVER AAVE PROTOCOL INTERFACE INTENSIFICEERT: Een debat binnen de DAO van Aave werpt vragen op over wie de controle heeft over de interface van het protocol en wie er financieel van profiteert. De kwestie kwam aan het licht nadat Aave Labs begin deze maand gedecentraliseerde exchange-aggregator CoWSwap had geïntegreerd in de app.aave.com-interface, ter vervanging van de eerdere Paraswap-routing die werd gebruikt voor collateral swaps. Hoewel de verandering werd gepresenteerd als een verbetering van de gebruikerservaring met betere uitvoering en MEV-bescherming, gaven afgevaardigden later aan dat de swap-gerelateerde vergoedingen niet langer naar de schatkist van de Aave DAO stroomden. Een open brief van Orbit-delegee EzR3aL betoogde dat de integratie front-end kosten introduceerde van ongeveer 15 tot 25 basispunten die toekomen aan een externe ontvanger in plaats van aan de DAO. On-chain data die in het bericht werd aangehaald, toonde wekelijkse verdelingen van ether gekoppeld aan CoWSwap’s partnerkostenmechanisme over meerdere netwerken, wat mogelijk jaarlijks miljoenen dollars kan bedragen. Dat overschot is sindsdien afgenomen doordat de routing is verschoven naar CoWSwap’s batch-veilingmodel, dat uitvoeringszekerheid prioriteert boven prijsverbetering. Maar in het hart van het debat staat een onderscheid dat Aave Labs zegt dat altijd heeft bestaan: het protocol versus het product. In een forum reactie, Aave Labs verklaarde dat de interface onafhankelijk van het door de DAO bestuurde protocol wordt geëxploiteerd, gefinancierd en onderhouden. Volgens dit model beheert de DAO on-chain parameters, rentetarieven en protocolniveau-vergoedingen, terwijl Labs de discretie behoudt over optionele functies op applicatieniveau, zoals swap routing en interface-monetisatie. “Elke vorm van monetisatie is uitsluitend van toepassing op aanvullende functies,” schreef Aave Labs, met het argument dat deze scheiding de protocolneutraliteit bewaart en centralisatie van economische controle op het basisniveau voorkomt. Critici stellen echter dat de praktische realiteit anders is geweest. Marc Zeller van de Aave Chan Initiative (ACI) gaf aan dat er een langlopende verwachting bestond dat monetisatie gekoppeld aan de aave.com frontend — waaronder swap surplus en flash-loan-ondersteunde uitvoering — de DAO zou ten goede komen, vooral gezien het feit dat het merk, bestuurlijke legitimiteit en een groot deel van de onderliggende ontwikkeling werden gefinancierd door tokenhouders. — Shaurya Malwa Lees meer.

PUDGY PINGUÏNS NEMEN VEGAS OVER: Ooit een doorbraak non-fungible token (NFT) project tijdens de crypto-boom van 2021, richt Pudgy Penguins zich nu op zichtbaarheid in de echte wereld met een prominente advertentieplaatsing bij de Las Vegas Sphere tijdens de kerstweek. Slechts enkele crypto-gerelateerde merken hebben advertentieruimte weten te bemachtigen in de Sphere, een enorm met LED bedekt podium dat bekend staat om zijn meeslepende displays en optredens van acts zoals U2 en de Eagles. A bitcoin-gerichte activatie liep in juli, maar andere voorbeelden zijn zeldzaam geweest. De advertentie van Pudgy Penguins zal meerdere dagen draaien vanaf 24 december en zal diverse geanimeerde segmenten bevatten, volgens een persoon die bekend is met de overeenkomst. Het merk gaf ongeveer $500.000 uit aan de plaatsing — gebruikelijk voor een vertoning in de Sphere. "Het toont aan dat een cryptoproject kan uitgroeien en buiten de cryptowereld kan treden, en de harten en gedachten van alledaagse consumenten kan raken," zei Vedant Mangaldas, hoofd strategie en merk bij Pudgy Penguins, tegen CoinDesk. Hij gaf aan dat de deal mogelijk werd gemaakt omdat het project een "echt bedrijf" achter zich heeft. – Helene Braun Lees meer.

In Ander Nieuws

• Securitize zal begin 2026 aanbieden wat het noemt het eerste volledig conforme on-chain handelsplatform voor echte publieke aandelen, waarmee de lijnen tussen traditionele markten en Web3-infrastructuur vervagen. Het systeem van het bedrijf stelt investeerders in staat om direct getokeniseerde aandelen van beursgenoteerde bedrijven te bezitten, die on-chain worden uitgegeven en geregistreerd, en verhandelbaar zijn via een op blockchain gebaseerd interface, volgens een aankondiging. In tegenstelling tot synthetische tokenmodellen die aandelenkoersen volgen via offshore entiteiten of derivaten, biedt de aanpak van Securitize volledige juridische eigendom. Elk aandeel wordt uitgegeven door het bedrijf zelf en geregistreerd op de officiële cap table, aldus het bedrijf. “Dit is geen synthetische prijsvolger of een IOU tegenover een custodial partij,” schreef Securitize in haar aankondiging. “Dit zijn echte, gereguleerde aandelen: uitgegeven onchain, direct vastgelegd op de cap table van de uitgever, en verhandelbaar via een bekende Web3 swap-ervaring.” Dit betekent dat tokenhouders echte aandeelhoudersrechten krijgen, waaronder dividend- en stemrechten, en dat hun activa onder eigen bewaring vallen, zonder tussenpersonen die aandelen achter de schermen herhypothekeren. De activa zijn desalniettemin permissiegebaseerd en kunnen alleen worden overgedragen tussen conforme, op een whitelist geplaatste wallets. — Francesco Rodrigues Lees meer.
• Creditcardreus Visa (V) lanceert USDC-afwikkeling in de Verenigde Staten, waardoor uitgevende en acquirer-partners verplichtingen aan het kaartnetwerk kunnen afwikkelen in Circle’s dollar-gekoppelde stablecoin. De stap markeert de Amerikaanse fase van een stablecoin-afwikkelingsprogramma dat per 30 november een jaarlijkse omzet van $3,5 miljard heeft bereikt, aldus een persbericht van Visa. De nieuwe optie is bedoeld om banken en fintechs vrijwel directe fondsenbewegingen, zeven dagen per week afwikkeling en meer voorspelbare liquiditeit rond weekenden en feestdagen te bieden, terwijl de gebruikerservaring van de consument met de kaart onveranderd blijft. — Zal Canny Lees meer.

Regulering en Beleid

• De Amerikaanse senator Elizabeth Warren heeft vroeg om een nieuwe nationale veiligheidsonderzoek in de Verenigde Staten in een hoek van de cryptosector, waarbij zij haar bezorgdheid uitte over PancakeSwap, een gedecentraliseerde beurs die zij aanmerkte als een platform dat probeert munten te versterken die zijn uitgegeven door World Liberty Financial Inc., een organisatie verbonden aan president Donald Trump. Zij zei de beurs, dat opereert op meerdere blockchains en een belangrijk protocol is op de Binance-keten, zou moeten worden onderzocht op mogelijke verbindingen met 'onbehoorlijke politieke beïnvloeding door de Trump-administratie op handhavingsbeslissingen', zei Warren in een maandag verzonden brief aan minister van Financiën Scott Bessent en procureur-generaal Pam Bondi, met het verzoek dit te onderzoeken, waarbij zij een vergelijkbaar verzoek waarbij zij betrokken was vorige maand met betrekking tot WLFI. “Naarmate het Congres wetgeving over de structuur van de cryptomarkt overweegt — inclusief regels om te voorkomen dat terroristen, criminelen en schurkenstaten gedecentraliseerde financiën (DeFi) misbruiken om hun activiteiten te financieren — is het van cruciaal belang te begrijpen of u deze risico’s grondig onderzoekt,” schreef Warren, de hoogstgeplateerde Democraat in de Senaatscommissie voor Bankwezen die de wetgeving moet herzien en goedkeuren voordat de bredere Senaat kan stemmen. — Jesse Hamilton Lees meer.
• De Amerikaanse Federal Deposit Insurance Corporation heeft de uitgeroldeerste officiële regelvoorstel voortvloeiend uit de nieuwe wet die uitgevende instellingen van stablecoins reguleert, waarbij het bestuur heeft gestemd om een openbare commentaarperiode van 60 dagen te openen over het systeem voor het behandelen van aanvragen van haar gereguleerde banken die stablecoins willen uitgeven via dochterondernemingen. De instantie — onder leiding van waarnemend voorzitter Travis Hill, die ook de genomineerde van president Donald Trump is voor de permanente positie — zal reacties verzamelen en beoordelen voordat zij een definitieve regelgeving kan uitvaardigen. De dinsdag voorstel, goedgekeurd door alle drie de leden van de sterk ingekorte raad van bestuur, zou de procedures vaststellen voor het accepteren van aanvragen, het beoordelen ervan binnen een goedkeuringsvenster van 120 dagen en het aanbieden van een beroepsprocedure voor degenen die zijn afgewezen. "Volgens het voorstel zou de FDIC een op maat gemaakt aanvraagproces aannemen dat de FDIC in staat zou stellen om de veiligheid en soliditeit van de voorgestelde activiteiten van een aanvrager te evalueren op basis van de wettelijke factoren, terwijl de regelgevende lasten voor aanvragers worden geminimaliseerd," zei Hill, wiens voordracht mogelijk al deze week door de Senaat kan worden bevestigd. De Guiding and Establishing National Innovation for U.S. Stablecoins (GENIUS) Act was de eerste belangrijke cryptowet die door het Congres werd goedgekeurd, en stelde een complex geheel van toezichthouders vast voor bedrijven die stablecoins willen uitgeven, de aan de dollar gekoppelde tokens die essentieel zijn voor transacties in de sector van digitale activa. Voor verzekerde depositoinstellingen is de FDIC de aangewezen toezichthouder. — Jesse Hamilton Lees meer.

Kalender

• 10-12 feb. 2026: Consensus, Hong Kong
• 17-21 feb. 2026: EthDenver, Denver
• 30 mrt.–2 apr. 2026: EthCC, Cannes
• 15-16 apr. 2026: Paris Blockchain Week, Parijs
• 5-7 mei 2026: Consensus, Miami